Une version mise à jour d’un malware botnet appelé Prometei a infecté plus de 10 000 systèmes dans le monde depuis novembre 2022.
Les infections sont à la fois géographiquement aveugles et opportunistes, la majorité des victimes étant signalées au Brésil, en Indonésie et en Turquie.
Prometei, observé pour la première fois en 2016, est un botnet modulaire qui comprend un large répertoire de composants et plusieurs méthodes de prolifération, dont certaines incluent également l’exploitation des failles ProxyLogon Microsoft Exchange Server.
Il est également remarquable d’éviter de frapper la Russie, ce qui suggère que les acteurs de la menace derrière l’opération sont probablement basés dans le pays.
Les motivations du botnet multiplateforme sont financières, tirant principalement parti de son pool d’hôtes infectés pour exploiter la crypto- monnaie et récolter les informations d’identification.
La dernière variante de Prometei (appelée v3) améliore ses fonctionnalités existantes pour contester l’analyse médico-légale et creuser davantage son accès sur les machines victimes, a déclaré Cisco Talos dans un rapport partagé avec The Hacker News.
La séquence d’attaque se déroule ainsi : après avoir réussi à s’implanter, une commande PowerShell est exécutée pour télécharger le logiciel malveillant du botnet à partir d’un serveur distant. Le module principal de Prometei est ensuite utilisé pour récupérer la charge utile réelle de crypto-minage et d’autres composants auxiliaires sur le système.
Certains de ces modules de support fonctionnent comme des programmes de diffusion conçus pour propager le logiciel malveillant via le protocole RDP (Remote Desktop Protocol), Secure Shell (SSH) et Server Message Block (SMB).
Prometei v3 se distingue également par l’utilisation d’un algorithme de génération de domaine (DGA) pour développer son infrastructure de commande et de contrôle (C2). Il intègre en outre un mécanisme d’auto-mise à jour et un ensemble étendu de commandes pour récolter des données sensibles et réquisitionner l’hôte.
Enfin, le logiciel malveillant déploie un serveur Web Apache fourni avec un WebShell basé sur PHP, capable d’exécuter des commandes encodées en Base64 et d’effectuer des téléchargements de fichiers.
“Ce récent ajout de nouvelles fonctionnalités s’aligne sur les affirmations précédentes des chercheurs sur les menaces selon lesquelles les opérateurs de Prometei mettent continuellement à jour le botnet et ajoutent des fonctionnalités”, a déclaré Talos.
Source : TheHackerNews
Related Posts
systemssupportavril 20, 2023Microsoft connaît une panne majeure [Updated]
systemssupportavril 16, 2023